INFORMATION TECHNOLOGY
Consiglio UE: approvata definitivamente la Direttiva NIS 2 sulla cybersicurezza.
ll Consiglio dell'Unione europea ha annunciato l'approvazione definitiva della Direttiva recante misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148 ("direttiva NIS2"), a seguito dell'approvazione del Parlamento europeo il 10 novembre 2022.
La Direttiva NIS2 sarà a breve pubblicata nella Gazzetta ufficiale dell'UE ed entrerà in vigore il 20esimogiorno successivo alla pubblicazione. Gli Stati membri disporranno di 21 mesi dall'entrata in vigore della direttiva NIS2 per recepirne le disposizioni nel diritto nazionale.
Migliorare la gestione dei rischi e degli incidenti e la cooperazione.
La direttiva NIS 2 stabilirà una base di riferimento per le misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione in tutti i settori contemplati dalla direttiva, in particolare l'energia, i trasporti, la salute e le infrastrutture digitali.
La direttiva riveduta mira ad armonizzare gli obblighi in materia di cibersicurezza e l'attuazione delle misure di cibersicurezza nei diversi Stati membri. A tal fine, stabilisce norme minime per un quadro normativo e istituisce meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro. Aggiorna l'elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevede mezzi di ricorso e sanzioni per garantirne l'applicazione.
La direttiva istituirà formalmente la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala.
Ampliamento dell'ambito di applicazione delle norme.
Mentre ai sensi della precedente direttiva NIS la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva NIS 2 introduce la regola della soglia di dimensione quale regola generale per individuare i soggetti regolamentati. Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione.
Pur mantenendo questa regola generale, la direttiva riveduta contiene disposizioni supplementari per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità definiti in modo chiaro per consentire alle autorità nazionali di determinare ulteriori soggetti interessati.
Il testo chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e l'attività di contrasto. Anche il settore giudiziario, i parlamenti e le banche centrali sono esclusi dall'ambito di applicazione.
La direttiva NIS 2 si applicherà anche alle pubbliche amministrazioni a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi a tali enti anche a livello locale.
Altre modifiche introdotte con le nuove norme.
La direttiva è stata inoltre allineata alla legislazione settoriale, in particolare al regolamento relativo alla resilienza operativa digitale per il settore finanziario (DORA) e alla direttiva sulla resilienza dei soggetti critici (CER), per fornire chiarezza giuridica e garantire la coerenza tra tali atti e la NIS 2.
Un meccanismo volontario di apprendimento tra pari accrescerà la fiducia reciproca e gli insegnamenti tratti dalle buone pratiche e dalle esperienze nell'Unione, contribuendo in tal modo a conseguire un livello comune elevato di cibersicurezza.
La nuova normativa razionalizza inoltre gli obblighi di segnalazione per evitare di causare un eccesso di segnalazioni e di imporre oneri eccessivi ai soggetti interessati.
Il Comunicato stampa è disponibile qui.
La Direttiva NIS2 sarà a breve pubblicata nella Gazzetta ufficiale dell'UE ed entrerà in vigore il 20esimogiorno successivo alla pubblicazione. Gli Stati membri disporranno di 21 mesi dall'entrata in vigore della direttiva NIS2 per recepirne le disposizioni nel diritto nazionale.
Migliorare la gestione dei rischi e degli incidenti e la cooperazione.
La direttiva NIS 2 stabilirà una base di riferimento per le misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione in tutti i settori contemplati dalla direttiva, in particolare l'energia, i trasporti, la salute e le infrastrutture digitali.
La direttiva riveduta mira ad armonizzare gli obblighi in materia di cibersicurezza e l'attuazione delle misure di cibersicurezza nei diversi Stati membri. A tal fine, stabilisce norme minime per un quadro normativo e istituisce meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro. Aggiorna l'elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevede mezzi di ricorso e sanzioni per garantirne l'applicazione.
La direttiva istituirà formalmente la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala.
Ampliamento dell'ambito di applicazione delle norme.
Mentre ai sensi della precedente direttiva NIS la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva NIS 2 introduce la regola della soglia di dimensione quale regola generale per individuare i soggetti regolamentati. Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione.
Pur mantenendo questa regola generale, la direttiva riveduta contiene disposizioni supplementari per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità definiti in modo chiaro per consentire alle autorità nazionali di determinare ulteriori soggetti interessati.
Il testo chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e l'attività di contrasto. Anche il settore giudiziario, i parlamenti e le banche centrali sono esclusi dall'ambito di applicazione.
La direttiva NIS 2 si applicherà anche alle pubbliche amministrazioni a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi a tali enti anche a livello locale.
Altre modifiche introdotte con le nuove norme.
La direttiva è stata inoltre allineata alla legislazione settoriale, in particolare al regolamento relativo alla resilienza operativa digitale per il settore finanziario (DORA) e alla direttiva sulla resilienza dei soggetti critici (CER), per fornire chiarezza giuridica e garantire la coerenza tra tali atti e la NIS 2.
Un meccanismo volontario di apprendimento tra pari accrescerà la fiducia reciproca e gli insegnamenti tratti dalle buone pratiche e dalle esperienze nell'Unione, contribuendo in tal modo a conseguire un livello comune elevato di cibersicurezza.
La nuova normativa razionalizza inoltre gli obblighi di segnalazione per evitare di causare un eccesso di segnalazioni e di imporre oneri eccessivi ai soggetti interessati.
Il Comunicato stampa è disponibile qui.
